Transport Layer Security. Un article de Wikipédia, l'encyclopédie libre. Transport Layer Security (TLS), et son prédécesseur Secure Sockets Layer (SSL), sont des protocoles de sécurisation des échanges sur Internet, développés à l'origine par Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF à la suite du rachat du brevet de Netscape par l'IETF en 2001. Le groupe de travail correspondant à l'IETF a permis la création des RFC 2246 pour le TLS et RFC 4347 pour son équivalent en mode datagramme, le DTLS. Depuis son rapatriement par l'IETF, le protocole TLS a vécu deux révisions subséquentes : TLSv1.1 décrite dans la RFC 4346 et publiée en 2006 et TLSv1.2, décrite par la RFC 5246 et publiée en 2008. Il y a très peu de différences entre SSL version 3 et TLS version 1 (qui correspond à la version 3.1 du mécanisme SSL) rendant les deux protocoles non interopérables.
Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS. INFO: Secure FTP, FTP/SSL, SFTP, FTPS, FTP, SCP... What's the difference? There are several different secure file transfer protocols that are, unfortunately, named in a very confusing way that often makes it difficult to distinguish one from another. The aim of this page is to provide some guidelines to make it easier to determine which is which. Communication protocols Basically, there are the following file transfer protocols around: FTP – the plain old FTP protocol that has been around since 1970s. The acronym stands for "File Transfer Protocol".
SFTP – another, completely different file transfer protocol that has nothing to do with FTP. SCP – a variant of BSD rcp utility that transfers files over SSH session. Secure communication layers Additionally, there are the following two secure communication layers: SSH – a protocol that allows establishing a secure channel between the local and the remote computer.
Secure file transfer protocols, or fitting it all together In an ideal world, the information above should be just enough. Pages-perso.esil.univmed.fr/~bruasse.a/Crypto/ch4-cle.publique.pdf. Les PKI. Généralités : Suite à l’invention de la cryptographie à clés publiques, qui permettait de s’affranchir du problème de la distribution et de la gestion des clés symétriques, s’est posé le problème de la gestion des paires de clés. J’ai des amis qui ont d’énormes trousseaux de clés (des vraies, en métal), et j’ai pu constater que c’est tout un art de bien les gérer : se souvenir laquelle correspond à quelle serrure, faire en sorte que le trousseau ne déchire pas les poches, être en bons termes avec son serrurier, avoir des doubles pour les refaire en cas de perte, ne pas les oublier dans un bar au petit matin... etc. La notion de PKI (ICP, Infrastructure à Clés Publiques en français) prend tout son sens quand les clés (numériques) sont encapsulées dans des certificats.
Avant de poursuivre, une remarque, mais d’importance : La mode est à la PKI.C’était très vrai lorsque j’ai mis cette page en ligne en juillet 2000, ça l’est un peu moins aujourd’hui, en mars 2002. Quid de ce que fait une PKI : PKI. Introduction L’art et la science de garder un secret sont appelés cryptographie. De nos jours, ce sont les mathématiciens et les physiciens qui étudient la cryptologie. Cette science est exploitée par les informaticiens pour des applications. Le but de la cryptographie est d'assurer les points suivants : La confidentialité : seul le destinataire peut connaître le contenu des messages qui lui sont transmis. Il n’existe pas une méthode simple et sûre pour permettre de telles exigences, mais une multitude de techniques permettent, en les combinant, de satisfaire ces besoins de sécurité.
De manière générale, "Si le coût nécessaire pour casser un algorithme dépasse la valeur de l’information chiffrée, alors cet algorithme peut être considéré comme sûr. " Les algorithmes dits Symétrique Les algorithmes dits "symétrique" sont des algorithmes utilisant une seule clef, cette clef est appelée clef secrète. Il existe deux types d’algorithmes à clef secrète.
Les algorithmes dits Asymétrique. Offres - ID-LOGISM - Cabinet Conseil Expert en Gestion des Identités, des habilitations et des données sensibles. Notre expertise sur les métiers de l’identité couvre toute la gamme des services liés à la gestion des identités et des habilitations : de la mise en place ou la refonte des processus à la conception d’une architecture idoine, du meilleur choix des solutions au suivi des intégrateurs.
Si l’identité est désormais une problématique commune à toute entreprise, sa mise en œuvre passe par des solutions individualisées. Notre plus-value se situe précisément dans la délivrance d’une prestation personnalisée ciblant l’adaptation de méthodes éprouvées aux besoins et aux logiques de chaque client. A tous les niveaux du SI, pour tous ses acteurs, la gestion des identités répond à une préoccupation : La gestion des identités représente la gestion des impacts des mouvements des collaborateurs (arrivée, mutation, départ, absence, etc.) dans l'entreprise. La gestion des habilitations est la transposition du métier en privilèges au sein d'une entité.
Documentation sur SSL et TLS. 1 - Généralités 1.1 - Positionnement des protocoles SSL et TLS SSL signifie Secure Sockets Layer et son équivalent actuel TLS signifie Transport Secured Layer. Ils sont tous les deux des protocoles situés entre le niveau Transport et Application. Ainsi, on retrouve leur positionnement sur le schéma suivant représentant le modèle OSI et TCP/IP SSL et TLS se comportent en effet comme une couche intermédiaire supplémentaire, car ils sont indépendants du protocole utilisé au niveau application.
Cela signifie donc qu'il peut aussi bien être employé pour sécuriser une transaction web, l'envoi ou la réception d'email, etc. 1.2 - Objectifs et moyens mis en oeuvre SSL et TLS proposent les fonctionnalités suivantes : Authentification - Le client doit pouvoir s'assurer de l'identité du serveur. SSL et TLS reposent donc sur la combinaison de plusieurs concepts cryptographiques, exploitant la fois le chiffrement asymétrique et le chiffrement symétrique. 1.3 - Fonctionnement 1.4 - Plan de ce document. Authentification. Un article de Wikipédia, l'encyclopédie libre. Authentification renforcée basée sur une cryptocard L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une personne ou d'un ordinateur afin d'autoriser l'accès de cette entité à des ressources (systèmes, réseaux, applications…)[1] .
L'authentification permet donc de valider l'authenticité de l'entité en question. L'identification permet donc de connaître l'identité d'une entité alors que l'authentification permet de vérifier cette identité. Définition[modifier | modifier le code] L'authentification désigne le processus visant à confirmer qu'un commettant est bien celui qu'il prétend être. Utiliser une information que seul le commettant connaît.Utiliser une information unique que seul le commettant possède.Utiliser une information qui caractérise le commettant dans un contexte donné.Utiliser une information que seul le commettant peut produire. Enjeu[modifier | modifier le code] Authenticité. Contrôle d'accès. Un article de Wikipédia, l'encyclopédie libre. Contrôle d'accès physique par serrure à code numérique Le contrôle d'accès consiste à vérifier si une entité (une personne, un ordinateur, …) demandant d'accéder à une ressource a les droits nécessaires pour le faire.
Le contrôle d'accès comprend généralement 3 composantes : un mécanisme d'authentification de l'entité (par exemple un mot de passe, une carte, une clé, un élément biométrique, …). Ce mécanisme n'est pas utile en soi mais est indispensable au fonctionnement des 2 suivants ;un mécanisme d'autorisation (l'entité peut être authentifiée mais ne pas avoir le droit d'accéder à cette ressource à ce moment) ;un mécanisme de traçabilité : parfois, le mécanisme d'autorisation peut être insuffisant pour garantir que l'entité dispose du droit d'accès à cette ressource (respect d'une procédure, heures ouvrées,...).
La traçabilité compense alors ce manque en introduisant une épée de Damoclès responsabilisant les entités. Sécurité des systèmes d'information. Un article de Wikipédia, l'encyclopédie libre. La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information. Assurer la sécurité du système d'information est une activité du management du système d'information. Historique[modifier | modifier le code] Les responsables de systèmes d'information se préoccupent depuis longtemps de sécuriser les données. Le cas le plus répandu, et sans aucun doute précurseur en matière de sécurité de l'information, reste la sécurisation de l'information stratégique et militaire.
Le Department of Defense (DoD) des États-Unis est à l'origine du TCSEC, ouvrage de référence en la matière. Objectifs[modifier | modifier le code] « Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité des systèmes d'information vise les objectifs suivants : Sécurité des données. Contrôle d'accès logique. Un article de Wikipédia, l'encyclopédie libre.
Le contrôle d'accès logique est un système de contrôle d'accès à un système d'information. Modes de contrôle d'accès[modifier | modifier le code] Le contrôle d'accès à une ressource du système d'information est exercé selon deux modes : Mode a priori Ceci consiste dans l'audit et la configuration des droits d'accès attribués aux utilisateurs (on parle de "Gestion des identités et des habilitations" ou "Identity & Access Management"). Mode a posteriori Ceci consiste dans le contrôle des droits d'accès attribués aux utilisateurs au moment de l'accès au système.
Protocole AAA[modifier | modifier le code] Le contrôle d'accès à un système d'information est généralement étudié suivant le protocole AAA (en anglais : Authentication Authorization Accounting). Authentification[modifier | modifier le code] Cette première phase consiste à vérifier que l'utilisateur correspond bien à l'identité qui cherche à se connecter. Autorisation[modifier | modifier le code]
SI_5_SSL. Ylescop.free.fr/mrim/cours/securite.pdf. Comprendre l'ordinateur - C'est quoi SSL, SSH, HTTPS ? Ça sert à quoi SSL ? SSL = Secure Socket Layer C'est un système qui permet d'échanger des informations entre 2 ordinateurs de façon sûre. SSL assure 3 choses: Confidentialité: Il est impossible d'espionner les informations échangées.Intégrité: Il est impossible de truquer les informations échangées.Authentification: Il permet de s'assurer de l'identité du programme, de la personne ou de l'entreprise avec lequelle on communique.
SSL est un complément à TCP/IP et permet (potentiellement) de sécuriser n'importe quel protocole ou programme utilisant TCP/IP. SSL a été créé et développé par la société Netscape et RSA Security. Pourquoi utiliser SSL plutôt qu'un autre système ? Il faut se méfier des systèmes propriétaires: contrairement à ce qu'on pourrait penser, la sécurité d'un système de chiffrement ne réside pas dans le secret de l'algorithme de chiffrement, mais dans le secret de la clé.
Comment ça marche SSL ? SSL consiste en 2 protocoles: La négociation SSL ("handshake") SSL utilise: